【正文】 測試安全管理漏洞掃描系統(tǒng)將所發(fā)現(xiàn)的隱患和漏洞依照風(fēng)險等級進(jìn)行分類，向用戶發(fā)出不同的警告提示，提交風(fēng)險評估報告，并給出詳細(xì)的解決辦法。在黃委機(jī)關(guān)電子政務(wù)內(nèi)網(wǎng)單位所有 Windows 客戶端上部署相應(yīng)平臺的網(wǎng)絡(luò)版防毒軟件，一方面增強(qiáng)客戶端的防毒能力，另一方面保證客戶端不為因?yàn)椴《締栴}而帶給管理員極大的工作量。由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機(jī)可能隨時會感染其它的機(jī)器，或是被種上了黑客程序而向外傳送機(jī)密文件（如“SirCam”病毒） 。這種外表會鼓舞人們?nèi)?zhí)行它，實(shí)事上和古代戰(zhàn)役中的特洛伊木馬相似，其真正目的很可能恰好與外表相反，會對文件造成破壞，或在計(jì)算機(jī)中植入病毒。通過在互連網(wǎng)出口位置設(shè)置邊界準(zhǔn)入控制服務(wù)器，能夠驗(yàn)證通過 VPN 隧道聯(lián)入的遠(yuǎn)程用戶主機(jī)上是否運(yùn)行了內(nèi)網(wǎng)安全管理客戶端軟件，并且要求客戶端軟件提交該遠(yuǎn)程主機(jī)的安全檢查報告，當(dāng)遠(yuǎn)程主機(jī)沒有運(yùn)行安全管理客戶端軟件，或者安全檢查結(jié)果不達(dá)標(biāo)的時候，認(rèn)證強(qiáng)制網(wǎng)關(guān)能夠阻止用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，但提供用戶恢復(fù)其安全的綠色通路。盡管以上大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決： 內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為； 非法的準(zhǔn)入控制等行為； 違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其它網(wǎng)絡(luò)； 網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到安全事件源的實(shí)時、快速、精確定位、遠(yuǎn)程阻斷隔離操作。高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 24 ~ 網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì) 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)的意義在基于 TCP/IP 的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險。每個區(qū)域可以單獨(dú)設(shè)置自己的默認(rèn)安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。通過使用 Firewall 過濾不安全的服務(wù)器，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。在前面的章節(jié)中我們已經(jīng)對校園網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu)進(jìn)行了全面分析并按照等級保護(hù)的原則對改造后的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行了區(qū)域劃分和各區(qū)域的安全保護(hù)級別定義。第二類漏洞更為常見，更需要得到廣泛的關(guān)注。在實(shí)時檢測中，入侵檢測系統(tǒng)（（英文簡稱 IDS：Intrusion Detection System）是目前最為主要的一個廣泛應(yīng)用的技術(shù)和管理手段。目前，攻擊者常用的手段主要是漏洞校驗(yàn)和口令猜解，如：專用的 CGI 漏洞掃描工具、登錄口令破解等等。綜合管理，易用、易查入侵防御系統(tǒng)支持向?qū)降牟呗耘渲霉芾?，可根?jù)需求靈活調(diào)整保護(hù)策略，達(dá)到最佳防御效果；在及時準(zhǔn)確發(fā)現(xiàn)各類攻擊的同時，提供多種響應(yīng)方式；此外，還對歷史記錄信息提供細(xì)致的查詢分析功能。想要實(shí)現(xiàn)完全的入侵防御，就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：online 式在線部署，深層分析網(wǎng)絡(luò)實(shí)時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實(shí)施及時的阻斷。5 相關(guān)政策法規(guī)和文件 國家信息安全標(biāo)準(zhǔn)、指南? GB/T 20274—2022 信息系統(tǒng)安全保障評估框架? GB/T —2022 信息技術(shù)信息技術(shù)安全管理指南第 1 部分信息技術(shù)安全概念和模型? GB/—2022 信息技術(shù)—信息技術(shù)安全管理指南第 2 部分管理和規(guī)劃高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 8 ~信息技術(shù)安全? GB/T 19716—2022 信息技術(shù)—信息安全管理實(shí)用規(guī)則? GB/T 18336—2022 信息技術(shù)—安全技術(shù)— 信息技術(shù)安全性評估準(zhǔn)則? GB/T 20984—2022 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范? GB/T 20988—2022 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范? GB/Z 20986—2022 信息安全事件分類分級指南? GB 17859—1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則? 信息系統(tǒng)安全保護(hù)等級定級指南（報批稿）? 信息系統(tǒng)安全等級保護(hù)實(shí)施指南（報批稿）? 信息系統(tǒng)安全等級保護(hù)基本要求（報批稿）? 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則（送審稿） ? 信息安全等級保護(hù)管理辦法（公通字 2022 43 號） 國際信息安全標(biāo)準(zhǔn)? ISO/IEC 27001:2022 信息安全技術(shù) 信息系統(tǒng)安全管理要求? ISO/IEC 13335 信息技術(shù) 信息技術(shù)安全管理指南 第 1 部分：信息技術(shù)安全概念和模型? ISO/IEC TR 15443—1: 2022 信息技術(shù)安全保障框架 第一部分 概述和框架? ISO/IEC TR 15443—2: 2022 信息技術(shù)安全保障框架 第二部分 保障方法? ISO/IEC WD 15443—3 信息技術(shù)安全保障框架 第三部分 保障方法分析? ISO/IEC PDTR 19791: 2022 信息技術(shù) 安全技術(shù) 運(yùn)行系統(tǒng)安全評估6 項(xiàng)目需求分析 現(xiàn)狀描述某高等?？茖W(xué)校校園網(wǎng)現(xiàn)已建成為一個以辦公自動化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中心等）高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 9 ~的校園主干網(wǎng)絡(luò)。? 為校園網(wǎng)用戶根據(jù)職責(zé)，工作需要不同，設(shè)置不同的帶寬，使校園網(wǎng)應(yīng)用真正落到實(shí)處，真正發(fā)揮實(shí)際的效用。? 在管理方面：要利用信息技術(shù)實(shí)現(xiàn)職能信息管理的自動化，實(shí)現(xiàn)上下級部門之間更迅速便捷的溝通，實(shí)現(xiàn)不同職能部門之間的數(shù)據(jù)共享與協(xié)調(diào)，提高決策的科學(xué)性和民主性，減員增效，形成充滿活力的新型管理機(jī)制。以下是信息安全建設(shè)規(guī)劃的正式計(jì)劃書：1 項(xiàng)目名稱項(xiàng)目名稱：某高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目2 項(xiàng)目概述高校教育信息化是指高等學(xué)校為適應(yīng)信息化社會的要求，營造信息應(yīng)用環(huán)境，整合教育資源，促進(jìn)和深化教育教學(xué)改革，在教學(xué)、科研、學(xué)習(xí)、管理、后勤服務(wù)等各方面全面運(yùn)用以計(jì)算機(jī)、多媒體和網(wǎng)絡(luò)通訊為基礎(chǔ)的現(xiàn)代信息技術(shù)，實(shí)現(xiàn)教育教學(xué)全過程的信息化。高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 7 ~? 先進(jìn)性：某高等專科學(xué)校校園網(wǎng)改造升級項(xiàng)目采用的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備在使用期間，具有一定的先進(jìn)性，避免因技術(shù)陳舊造成整個校園網(wǎng)系統(tǒng)性能不高和過早淘汰。而高教行業(yè)動輒成千上萬的內(nèi)網(wǎng)用戶規(guī)模，一方面為網(wǎng)絡(luò)帶寬帶來很大壓力，另一方面用戶眾多難于管理，很容易出現(xiàn)網(wǎng)絡(luò)安全問題。文件捆綁：打開一份文檔，結(jié)果執(zhí)行了一個與文檔捆綁的木馬程序；文件偽裝：可愛的熊貓圖片，竟然是蠕蟲病毒；跨站腳本攻擊：僅僅是訪問了一個網(wǎng)站的頁面，就被安上了間諜軟件。網(wǎng)絡(luò)內(nèi)部沒有監(jiān)控措施，必須實(shí)時的對網(wǎng)絡(luò)連接和傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)入侵行為馬上報警，或進(jìn)行阻斷。但是，攻擊者也會考慮如何將留下的入侵痕跡消除，同時開辟一條新的路徑便于日后再次進(jìn)行更深入地攻擊，因此，作為深入攻擊的主要技術(shù)手段就有日志更改或替換、木馬植入以及進(jìn)行跳板攻擊等等。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡(luò)安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實(shí)時攻擊行為，并對其進(jìn)行響應(yīng)。因此就有漏洞掃描技術(shù)和對應(yīng)的技術(shù)工具—掃描軟件。具體的安全域邊界隔離機(jī)制和訪問控制策略建議如下：在互聯(lián)網(wǎng)邊界采用防火墻提供邊界隔離和訪問控制，對外提供信息服務(wù)的WEB、MAIL 服務(wù)器單獨(dú)組成一個 DMZ 區(qū)，允許內(nèi)部用戶訪問互聯(lián)網(wǎng)上的特定應(yīng)用，允許互聯(lián)網(wǎng)主機(jī)訪問 DMZ 區(qū)服務(wù)器上開放的服務(wù)，拒絕其他所有訪問；入侵檢測在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，對外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內(nèi)網(wǎng)發(fā)起的各種高級、復(fù)雜的攻擊行為進(jìn)行檢測和阻斷。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等） ，比分散管理更經(jīng)濟(jì)。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務(wù)的 WEB 服務(wù)器等采用私有 IP 地址作為真實(shí)地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過的目的地址，這樣也能夠有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進(jìn)行保護(hù)。利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。需在內(nèi)網(wǎng)的所有 Windows 客戶端安裝客戶端的代理，在服務(wù)器區(qū)域部署內(nèi)網(wǎng)安全管理系統(tǒng)策略服務(wù)器、補(bǔ)丁升級服務(wù)器、局域網(wǎng)準(zhǔn)入控制服務(wù)器，在邊界部署網(wǎng)關(guān)準(zhǔn)入控制服務(wù)器等進(jìn)行整個網(wǎng)絡(luò)的安全管理。由于網(wǎng)絡(luò)的廣泛互連，病毒的傳播途徑和速度大大加快，造成的危害也不斷增加。? 來自系統(tǒng)外部（Inter 或外網(wǎng)）的病毒入侵： 這是目前病毒進(jìn)入最多的途徑。在本方案中，我們部署了多層次病毒防線，分別是服務(wù)器、客戶端防毒、網(wǎng)關(guān)防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面防范；? 網(wǎng)關(guān)防毒是整體防毒的首要防線。同時生成整個網(wǎng)絡(luò)統(tǒng)一的病毒報告日志，便于系統(tǒng)管理人員即時對病毒發(fā)現(xiàn)情況進(jìn)行掌握，制定更加有效的網(wǎng)絡(luò)平臺安全使用策略。漏洞掃描系統(tǒng)不僅能發(fā)現(xiàn)系統(tǒng)存在的弱點(diǎn)和漏洞，還能給用戶提出修補(bǔ)這些弱點(diǎn)和漏洞的建議和措施，能給用戶建議保證系統(tǒng)安全的安全策略，最大限度地保證用戶信息系統(tǒng)的安全。針對國際互聯(lián)網(wǎng)上網(wǎng)絡(luò)系統(tǒng)中存在的主要弱點(diǎn)和漏洞，漏洞掃描系統(tǒng)集成了十幾大類實(shí)踐性方法，能全方位，多側(cè)面的對網(wǎng)絡(luò)安全隱患進(jìn)行掃描分析，基本上覆蓋了目前網(wǎng)絡(luò)和操作系統(tǒng)存在的主要弱點(diǎn)和漏洞，具有強(qiáng)大的掃描分析能力。 具體的部署如下：在黃委機(jī)關(guān)電子政務(wù)內(nèi)網(wǎng)單位所有 Windows 服務(wù)器上部署相應(yīng)平臺的網(wǎng)絡(luò)版防毒軟件，確保服務(wù)器系統(tǒng)不會成為病毒駐留的平臺，提高整個服務(wù)器系統(tǒng)的高可靠性。? 最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。但它們表面上看起來好象有某種用途或可以提供娛樂效果的程序。邊界準(zhǔn)入與隔離：高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 28 ~用于控制使用 VPN 和 RAS 撥號接入的遠(yuǎn)程用戶，由于這些遠(yuǎn)程用戶處于網(wǎng)絡(luò)邊界保護(hù)范圍之外，通常暴露在公共網(wǎng)絡(luò)之中，面臨較大的安全風(fēng)險，一旦被病毒或黑客攻陷，就會成為攻擊企業(yè)網(wǎng)絡(luò)的跳板，從而給單位帶來災(zāi)難性的損失。這些設(shè)備帶來高效應(yīng)用的同時，由于自身確實(shí)存在著安全風(fēng)險隱患，應(yīng)該采用相關(guān)網(wǎng)絡(luò)安全技術(shù)、手段來保障整個網(wǎng)絡(luò)運(yùn)行的安全。這樣網(wǎng)絡(luò)管理員通過對統(tǒng)計(jì)結(jié)果進(jìn)行分析，掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，繼而更加有效的管理整個網(wǎng)絡(luò)。每個區(qū)域的安全策略只對該區(qū)域有效。 防火墻系統(tǒng)設(shè)計(jì) 防火墻系統(tǒng)部署的意義防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信。7 安全技術(shù)體系設(shè)計(jì) 安全技術(shù)體系總體框架設(shè)計(jì)在具體的安全建設(shè)中應(yīng)根據(jù)安全目標(biāo)、網(wǎng)絡(luò)狀況、目前用戶最關(guān)注的安全重點(diǎn)和現(xiàn)有投資規(guī)模選擇當(dāng)前最迫切需要的安全防護(hù)機(jī)制，用以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠運(yùn)行。高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 17 ~這樣產(chǎn)生的安全漏洞分為兩類：第一類，是由于操作系統(tǒng)本省設(shè)計(jì)缺陷帶來的安全漏洞，這類漏洞將被運(yùn)行在該系統(tǒng)上的應(yīng)用程序所繼承；第二類是應(yīng)用軟件程序的安全漏洞。在攻擊與防御的較量中，實(shí)時檢測是處在一個核心的地位。? 攻擊嘗試攻擊者在進(jìn)行信息探測后，獲取了其需要的相關(guān)信息，也就確定了在其知識范疇內(nèi)比較容易實(shí)現(xiàn)的攻擊目標(biāo)嘗試對象，然后開始對目標(biāo)主機(jī)的技術(shù)或管理漏洞進(jìn)行深入分析和驗(yàn)證，這就意味著攻擊嘗試的進(jìn)行。在提升效率方面，入侵防御系統(tǒng)采用任務(wù)與虛擬 CPU 綁定的技術(shù)，消除并行處理的等待和切換時間；基于任務(wù)特點(diǎn)合理分配、高效利用硬件資源，根據(jù)分析任務(wù)特征自動選擇最優(yōu)算法，提升匹配效率；實(shí)現(xiàn)微秒級時延，滿足電信級業(yè)務(wù)的應(yīng)用。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實(shí)現(xiàn)較為低層的入侵防御，對應(yīng)用層攻擊等行為無法進(jìn)行判斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達(dá)不到完全防御的要求。? 服務(wù)性：從設(shè)計(jì)、施工到運(yùn)行，始終圍繞為用戶服務(wù)這個宗旨，讓用戶用得放心、用得安心、用得省心、用得舒心。? 增加網(wǎng)絡(luò)設(shè)備，防止外來不法人員的入侵，內(nèi)部安全可靠，病毒得到有效控制，涉密信息得到安全穩(wěn)妥的保護(hù)。? 在科研方面：要利用互聯(lián)網(wǎng)促進(jìn)科研資源和設(shè)備的共享，加快科研信息傳播，促進(jìn)國際性學(xué)術(shù)交流，開展網(wǎng)上合作研究，并且利用網(wǎng)絡(luò)促進(jìn)最新科研成果向教學(xué)領(lǐng)域的轉(zhuǎn)化，以及科研成果的產(chǎn)業(yè)化和市場化，從而大大提高科研的創(chuàng)新水平和輻射力。從概念上來看，教育信息化是從信息技術(shù)與教育的關(guān)系出發(fā)，側(cè)重以有關(guān)信息技術(shù)的觀念、思想、設(shè)施、設(shè)備、知識和技能等來影響教育的過程和結(jié)果。? 成熟性：在充分考慮先進(jìn)性的同時，優(yōu)先選擇成熟技術(shù)，最大限度地發(fā)揮投資效益。國家教育部、公安部等相關(guān)部門也三令五申地要求各高校切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。攻擊行為正以越來越可以亂真的面貌出現(xiàn)。入侵是對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的安全機(jī)制（包括機(jī)密性、完整性、可用性）的行為。木馬的種類更是多種多樣，近年來，木馬程序結(jié)合病毒的自動傳播來進(jìn)行入侵植入更是屢見不鮮。從網(wǎng)絡(luò)安全防護(hù)上講，防火墻技術(shù)給出了一個靜態(tài)防護(hù)的概念，而入侵檢測技術(shù)具有動態(tài)防御的意義。在條件許可的情況下，采用漏洞掃描系統(tǒng)選配的漏洞驗(yàn)證工具，對一些重要網(wǎng)段、服務(wù)器進(jìn)行模擬滲透攻擊，對網(wǎng)絡(luò)的現(xiàn)有的安全水平進(jìn)行比較客觀的評價是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，對檢測